文章总结: CNVD2026第25期漏洞周报显示零日漏洞占比达87%,多款海外软件集中爆发高危漏洞;国安部预警AR手游采集300亿实景数据存在军事化泄密风险,建议用户遵循最小权限原则并避免在敏感区域扫描;美国最高法院裁定地理围栏搜查令受第四修正案约束,强化手机位置数据隐私保护。 综合评分: 85 文章分类: 漏洞分析,数据安全,威胁情报,政策法规,安全事件
国安部预警:AR 手游采集 300 亿实景数据,民用地理数据存在军事化泄密风险 ;CNVD2026 第 25 期漏洞周报:零日漏洞占比超八成 | 牛览
安全牛
2026年6月30日 12:37 北京
在小说阅读器读本章
去阅读
点击蓝字 关注我们
新闻速览
- CNVD2026 第 25 期漏洞周报:零日漏洞占比超八成,多款海外软件高危漏洞集中爆发
- CNVD发布上周关注度较高的产品安全漏洞
- 国安部预警:AR 手游采集 300 亿实景数据,民用地理数据存在军事化泄密风险
- 美国最高法院裁定Geofence Warrants受第四修正案约束,手机位置数据隐私获强化保护
- 美国悬赏1000万美元通缉UNC4221与UNC5792,指向俄罗斯黑客基础设施打击升级
- 美国保险监管机构确认网络攻击事件影响,多州监管体系启动应急响应
- 新型内核逃逸利用链曝光:恶意 IPv6 分片数据包突破容器隔离
- Fortinet发布FortiSOC,以Agentic AI打造统一SOC平台
- 美国参议院推出 AI AGENT 法案,FTC 将搭建 AI 智能体安全认证注册体系
- 美国查封近400个世界杯盗播网站,警示恶意软件传播风险
特别关注
CNVD2026 第 25 期漏洞周报:零日漏洞占比超八成,多款海外软件高危漏洞集中爆发
2026 年 6 月 22 日至 28 日,CNVD 发布本年度第 25 期漏洞周报,本周安全漏洞整体威胁评级为中,全网共收录漏洞 532 个,高危漏洞 337 个,漏洞平均分值 6.85;其中 0day 漏洞 464 个,占比高达 87%,出现 Textpattern CMS 文件上传、CouchCMS 跨站脚本等可直接攻击的零日漏洞。
本周共收到党政、企事业单位事件型漏洞 3543 个,环比上周上涨 5%。漏洞类型以 WEB 应用为主,共计 322 个,其次为应用程序 112 个,网络设备、操作系统、工控系统漏洞均有收录。厂商维度,Adobe、WordPress、Google、H3C、Microsoft、Cisco 等产品均曝出漏洞,其余厂商漏洞合计占比 82%。
本周多类海外主流软件集中披露高危漏洞:Microsoft Office、Excel、Hyper-V 存在代码执行、信息泄露漏洞;Google Chrome 存在堆溢出、沙箱逃逸风险;Cisco 多款协作、网管设备存在命令注入、XML 注入漏洞;Adobe 设计软件存在越界写入高危漏洞,上述厂商均已推送补丁。Textpattern CMS4.8.7 存在未修复文件上传漏洞,攻击者上传恶意 PHP 文件即可执行任意命令。
安全机构提示,各单位及时升级微软、谷歌、思科、Adobe 产品补丁,使用 Textpattern CMS 的单位持续跟踪厂商修复公告,同步做好 WEB 应用、网络设备漏洞巡检处置。
原文链接:
https://www.cnvd.org.cn/webinfo/show/12516
CNVD发布上周关注度较高的产品安全漏洞
2026年6月22日至28日,全网披露多款境内外主流软硬件产品高危安全漏洞,覆盖办公软件、网络设备、操作系统、浏览器等常用品类,存在信息泄露、命令注入、代码执行、拒绝服务等多重风险,对企业及个人用户设备安全造成威胁。
境外产品方面,Microsoft Excel接连曝出信息泄露(CNVD-2026-24917、CNVD-2026-24914)、代码执行(CNVD-2026-24916)漏洞,恶意攻击者可借此窃取敏感数据、执行任意系统代码。Cisco IMC存在命令注入漏洞,因输入验证缺陷,可被利用执行任意命令。Google Chrome Codecs组件存在堆缓冲区溢出漏洞,攻击者可构造恶意页面实现沙箱逃逸。
境内产品漏洞同样频发。Tenda W15E路由器因参数校验缺失存在缓冲区溢出漏洞,可被触发拒绝服务攻击。Huawei HarmonyOS、EMUI存在多处授权漏洞,涉及权限管理缺陷,会引发设备功能异常、泄露服务机密。Zyxel多款路由器存在资源管理错误、认证后命令注入漏洞,可被发起Slowloris攻击、执行系统命令,设备运行安全风险较高。
原文链接:
https://www.cnvd.org.cn/webinfo/show/12521
热点观察
国安部预警:AR 手游采集 300 亿实景数据,民用地理数据存在军事化泄密风险
2026 年 6 月 29 日,国家安全部发布安全预警,外媒披露某知名 AR 手游关联 AI 公司累计收集用户近 300 亿份环境扫描数据,用于空间识别 AI 模型训练,该企业与境外军工存在合作,数据模型存在军事应用风险,凸显民用数据军事化带来的安全威胁。
AR (增强现实) 游戏以实景互动为包装,依托多传感器采集三维点云、空间深度、物体尺寸,信息采集量远超普通拍照;用户常一键授权定位、相机权限,软件后台静默上传数据,采集行为隐蔽;每帧画面绑定高精度 GPS、海拔、时间戳,可完整还原空间轨迹。
此类数据滥用存在三重风险:一是多源数据交叉比对可还原用户隐私,民众被动成为境外军事项目数据源;二是企业突破商业伦理,引发 AR、位置服务行业信任危机;三是海量地理数据可构建高精度三维国土模型,外泄后将形成关键军事情报,直接威胁国家安全。
官方给出防护指引:安装 AR、地图类应用遵循最小必要权限原则,闲置时关闭后台;不在军工、港口、科研院所等敏感区域拍摄扫描;警惕以游戏测试、街景调研为名的数据采集兼职。
公众发现非法测绘、窃取地理数据线索,可通过 12339 举报渠道上报。
原文链接:
https://mp.weixin.qq.com/s/Yw_yEUuyUB1g3dYL1H9J9w
美国保险监管机构确认网络攻击事件影响,多州监管体系启动应急响应
美国保险监管机构近日确认发生一起影响行业系统的网络安全事件,该事件涉及第三方服务供应链及保险相关数据系统访问异常,引发对保险行业数据安全与监管机制的进一步关注。
根据公开信息,此次事件由美国National Association of Insurance Commissioners(NAIC,美国全国保险监督官协会)相关系统被发现存在异常访问行为后触发调查。初步分析显示,攻击者可能通过供应链环节或外部服务接口获取了部分敏感数据访问权限,但目前尚未确认大规模核心保险理赔数据库被完全泄露。
事件发生后,多州保险监管机构已联合启动应急响应机制,并要求相关保险公司审查自身系统安全状态,包括身份认证机制(IAM)、API访问控制以及第三方供应商风险管理流程。业内指出,保险行业长期依赖大量外包数据处理与云服务,使其成为典型的“高价值低防护一致性”攻击目标。
技术层面分析认为,此类攻击往往利用credential stuffing(凭证填充攻击)、API滥用或供应链渗透方式实现初始突破,再通过横向移动获取更多系统权限。部分专家指出,事件暴露出保险行业在zero trust architecture(零信任架构)落地方面仍存在不足,尤其是在跨机构数据共享与访问控制粒度方面。
监管机构强调,后续将进一步强化对保险行业网络安全合规要求,并推动统一的数据泄露通报机制,以减少类似事件对消费者隐私与金融稳定性的潜在影响。
原文链接:
https://www.infosecurity-magazine.com/news/us-insurance-regulator-confirms/
安全事件
美国最高法院裁定Geofence Warrants受第四修正案约束,手机位置数据隐私获强化保护
美国最高法院近日以6∶3裁定,在Chatrie v. United States案中认定,执法部门使用Geofence Warrants(地理围栏搜查令)获取手机位置历史数据属于《美国宪法》第四修正案意义上的“搜查”,必须符合第四修正案关于隐私保护和搜查令的要求。
Geofence Warrants是一种数字取证手段,执法机构可要求Google等科技公司提供特定时间、特定区域内所有设备的位置数据,以筛选嫌疑人或证人。该技术因可能一次性收集大量无关人员信息,被隐私保护组织长期批评具有“拖网式搜查”特征。
本案源于一起银行抢劫案。警方依据Google保存的Location History(位置历史)锁定Okello Chatrie,并最终完成定罪。政府主张,仅调取有限时间的位置记录,不应视为第四修正案意义上的搜查;但最高法院多数意见认为,用户对手机位置历史具有“合理隐私期待(reasonable expectation of privacy)”,即使相关数据保存在第三方科技公司,执法部门调取该数据仍构成搜查。法院同时否定了“用户自愿放弃隐私”的观点,指出智能手机和定位服务已成为现代生活的基础功能,用户并非真正主动放弃隐私。
公开资料显示,仅约三分之一Google账户开启Location History,但涉及用户规模仍超过5亿。Google此前也承认,Geofence Warrants存在将大量无关用户纳入调查范围的风险。分析认为,该判决将对美国数字取证、电子证据获取及执法机构使用位置数据的合规流程产生深远影响,并进一步强化数字时代的隐私保护标准。
原文链接:
https://therecord.media/supreme-court-geofencing-ruling-fourth-amendment
美国悬赏1000万美元通缉UNC4221与UNC5792,指向俄罗斯黑客基础设施打击升级
美国近日宣布对两名与俄罗斯相关的网络犯罪嫌疑人提供最高1000万美元悬赏,目标分别涉及被追踪为UNC4221与UNC5792的黑客活动集群。该悬赏由美国U.S. Secret Service(美国特勤局)推动,旨在获取能够识别或定位相关关键人员的信息,以打击持续针对全球关键基础设施与企业的网络攻击活动。
根据安全机构分析,UNC4221与UNC5792被认为是与俄罗斯相关的高活跃威胁组织,长期从事包括勒索软件部署、凭证窃取以及对企业网络的渗透攻击。这些组织通常采用多阶段攻击链条,包括初始钓鱼邮件投递、漏洞利用进入内网、横向移动以及数据加密或窃取,并通过加密通信基础设施进行指挥控制(C2 communication)。
美国方面指出,这些组织的活动已对能源、金融、医疗及政府机构构成持续威胁,部分攻击事件涉及大规模数据泄露与业务中断。悬赏计划属于“Rewards for Justice”或类似跨机构网络安全执法机制的一部分,强调通过国际合作与情报共享提升溯源能力。
安全专家认为,此类高额悬赏不仅是执法手段,也是一种对黑产生态的战略性威慑,意在削弱黑客组织的人员稳定性与运营信任链。同时,这也反映出当前国家级网络对抗已从技术层面扩展至情报战与经济激励层面。
原文链接:
https://therecord.media/10million-reward-us-russian-hackers-unc4221-unc5792
美国查封近400个世界杯盗播网站,警示恶意软件传播风险
美国司法部(DOJ)宣布开展代号Operation Offsides的专项执法行动,查封近400个非法直播2026年FIFA世界杯赛事的互联网域名,旨在打击借赛事牟利的国际盗版网络,保护赛事版权和用户网络安全。此次行动由National Intellectual Property Rights Coordination Center联合Homeland Security Investigations(HSI)及多国执法机构共同实施,是美国历年来针对世界杯盗播规模最大的一次行动。
据DOJ介绍,被查封网站未经授权实时转播世界杯比赛,相关域名由FIFA协助识别,beIN Media Group、NBCUniversal、Warner Bros.、Motion Picture Association旗下Alliance for Creativity and Entertainment(ACE)以及UFC等机构提供了调查支持。执法行动重点打击位于秘鲁和保加利亚的服务器及域名,并在克罗地亚、罗马尼亚、波兰和哥伦比亚同步开展协调行动。
HSI指出,非法流媒体不仅侵犯版权,还可能成为网络攻击载体。此类网站通常存在恶意软件传播、不安全连接、信息窃取等风险,用户访问后可能导致个人信息和金融数据泄露。美国司法部表示,将继续追查盗播平台运营者,并联合国际执法和私营部门持续打击数字盗版活动,在维护知识产权的同时降低相关网络安全风险。
原文链接:
https://therecord.media/us-takes-down-hundreds-world-cup-streaming-sites
安全攻防
新型内核逃逸利用链曝光:恶意 IPv6 分片数据包突破容器隔离
安全研究人员公开披露了名为IPV6_FRAG_ESCAPE的容器逃逸Proof of Concept(PoC),目标为RHEL10和CentOS环境。该PoC展示了攻击者如何利用IPv6分片(IPv6 Fragmentation)相关机制,从非特权(unprivileged)容器突破隔离边界,最终在宿主机上获得Root权限,进一步加剧了容器化基础设施的安全风险。
根据披露信息,该PoC无需容器内Root权限,仅依赖普通容器权限即可发起攻击。其核心思路是利用Linux内核对IPv6分片数据包的处理逻辑,通过构造特定网络数据触发容器与宿主机之间的隔离缺陷,实现Container Escape,并在宿主机执行任意命令。研究人员已公开完整PoC代码,以帮助安全研究人员验证漏洞影响,但同时也意味着未及时加固的系统面临更高的被利用风险。
此次披露再次表明,容器安全不仅依赖Namespace、cgroups等隔离机制,网络协议栈同样可能成为突破口。对于运行RHEL10、CentOS等平台的企业,建议及时关注相关安全更新,限制非必要IPv6功能,加强容器网络访问控制,并持续监测异常IPv6流量及容器逃逸行为,以降低潜在攻击风险。
原文链接:
Public PoC and Exploit Details Released for IPV6_FRAG_ESCAPE on RHEL 10
产业动态
美国参议院推出 AI AGENT 法案,FTC 将搭建 AI 智能体安全认证注册体系
2026 年 6 月 29 日,外媒 Cyberscoop 披露美国民主党参议员 Mark Warner 发布《AI AGENT Act》讨论草案,针对可自主代用户购物、发帖、修改账号的 AI 智能体建立联邦监管框架。
法案要求月活超 5000 万的大型互联网平台,向用户开放至少一家通过联邦合规认证的 AI 智能体服务商。由 FTC 授权第三方机构开展资质审核,厂商需满足隐私、数据安全基础标准,纳入官方可信服务商名录;违规企业将被移出注册清单。
法案明确两大核心安全约束:所有 AI 智能体必须绑定真人运营者身份,实现行为可追溯;内置权限管控机制,用户可随时授予、撤销 AI 代操作权限。当前 AI 智能体存在私自下单、泄露隐私、违背用户意愿执行操作等风险,且 AI 与 AI 自动交互场景增多,身份溯源与安全管控需求迫切。
行业数据显示,23% 美国民众月度内使用 AI 完成采购,2030 年 AI 代理或将承载数千亿美元线上交易。同期美国政府同步推进大模型出口管制,Anthropic 旗下 Mythos 5、Fable 5 模型受限,行政令推出前沿模型自愿 30 天安全测试机制。
该草案仅为征求意见稿,后续将调整完善后提交参议院审议。安全从业者提示,AI 智能体自主操作权限、身份绑定、权限回收三类机制将成为全球 AI 合规核心管控要点。
原文链接:
Warner bill would create federally vetted list for secure, trustworthy AI agents
新品发布
Fortinet发布FortiSOC,以Agentic AI打造统一SOC平台
Fortinet宣布推出统一安全运营中心(SOC)平台FortiSOC。该平台采用云交付(SaaS)模式,并引入Agentic AI,将六大安全运营能力整合至单一平台,帮助企业简化SOC建设,提升威胁检测、调查与响应效率。
FortiSOC基于Fortinet现有SecOps技术构建,集成了安全信息与事件管理(SIEM)、安全编排自动化与响应(SOAR)、Threat Intelligence、身份威胁检测与响应(ITDR)、用户与实体行为分析(UEBA)以及Case Management等能力,实现统一的数据分析、告警关联和事件响应。平台融合FortiGuard Labs威胁情报,可自动关联资产、身份和安全事件,并借助Agentic AI自主完成告警调查、威胁分析,向分析人员推荐或执行响应措施,同时保留人工审核机制。
Fortinet表示,FortiSOC采用统一控制台和单一订阅模式,可减少多工具部署和运维复杂度,降低SOC运营成本。平台内置数千个SOAR自动化Playbook,并支持与Fortinet及第三方安全产品双向集成,帮助企业实现跨网络、终端、云和身份环境的统一可视化与自动化响应。
此外,Fortinet强调,现有FortiAnalyzer、FortiSIEM和FortiSOAR产品将继续独立提供和持续更新,而FortiSOC则作为统一云平台,为不同规模企业提供从基础SOC建设到高级安全运营的完整演进路径。
原文链接:
Fortinet launches FortiSOC, a unified SOC platform powered by agentic AI
联系我们
合作电话:18610811242
合作微信:aqniu001
联系邮箱:[email protected]
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全牛 《国安部预警:AR 手游采集 300 亿实景数据,民用地理数据存在军事化泄密风险 ;CNVD2026 第 25 期漏洞周报:零日漏洞占比超八成 | 牛览》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论